CISM0201密碼及網(wǎng)絡(luò)安全

密碼及網(wǎng)絡(luò)安全中國信息安全測評中心（20140819）課程內(nèi)容2密碼及網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全規(guī)劃及策略密碼學(xué)基礎(chǔ)知識常見網(wǎng)絡(luò)安全設(shè)備知識體：密碼及網(wǎng)絡(luò)安全知識域：密碼學(xué)基礎(chǔ)知識了解密碼學(xué)的基本概念和術(shù)語理解對稱算法特點理解非對稱算法特點了解散列算法、消息鑒別碼和簽名算法的作用3什么是密碼學(xué)為什么要進行數(shù)據(jù)加密？為了數(shù)據(jù)安全！密碼學(xué)研究什么？密碼編碼學(xué)——主要研究對信息進行編碼，實現(xiàn)對信息的隱蔽、完整性驗證等密碼分析學(xué)——主要研究加密信息的破譯或信息的偽造密碼學(xué)在信息安全中處于什么地位？信息安全的重要基礎(chǔ)技術(shù)4密碼學(xué)的發(fā)展歷史最早的有記載的加密文字：公元前19世紀(jì)古埃及第十二王朝尼羅河畔MenetKhufu鎮(zhèn)一位貴族的碑文目的是為了保持神秘和神圣5愷撒密碼6明文密文ATTACKNOWDWWDFNQRZ密碼學(xué)發(fā)展第一個階段是從古代到19世紀(jì)末——古典密碼（classicalcryptography)第二個階段從20世紀(jì)初到1949年——近代密碼第三個階段從C.E.Shannon（香農(nóng)）于1949年發(fā)表的劃時代論文“TheCommunicationTheoryofSecretSystems”開始——現(xiàn)代密碼第四個階段從1976年W.Diffie和M.Hellman發(fā)表論文“NewDirectionsinCryptography”開始——公鑰密碼7基本概念明文被隱蔽的消息被稱做明文（PlainText密文隱蔽后的消息被稱做密文(CipherText)加密將明文變換成密文的過程稱為加密(Encryption)解密將密文變換成明文的過程稱為解密(Decryption)8加密vs.解密加密（Encryption）：將明文變換為密文的過程把可懂的語言變換成（人類/機器）不可懂的語言解密（Decryption）：由密文恢復(fù)出原明文的過程加密的逆過程即把不可懂的語言變換成可懂的語言9加密算法密鑰密文明文解密算法密鑰密文明文加密和解密算法的操作通常都是在一組密鑰的控制下進行的,分別稱為加密密鑰(EncryptionKey)和解密密鑰(DecryptionKey)密碼裝置舉例10斯巴達人“天書”密碼艾伯蒂密碼圓盤轉(zhuǎn)輪密碼機ENIGMA密碼裝置舉例密碼機11Key,動態(tài)口令卡對稱密碼算法和非對稱密碼算法對稱密碼算法

加密密鑰與解密密鑰相同，所以又叫單鑰密碼。算法：DES非對稱密碼算法加密密鑰與解密密鑰不同，而且解密密鑰不能根據(jù)加密密鑰計算出來，所以又叫雙鑰密碼。算法：RSA12加密目的消息發(fā)送者和接收者在不安全的信道上進行通信，要讓網(wǎng)絡(luò)上其他人不能理解他們通信的內(nèi)容13對稱密碼算法典型對稱密碼算法算法名稱發(fā)布時間分組長度密鑰長度備注DES1970s6456NBS征集發(fā)布3DES1980s64112、168AES2000128128、192、256NIST征集發(fā)布，用于代替DESIDEA199264128X.J.Lai和J.L.Massey提出14DES算法密鑰長度：56bits（加校驗位后為64bits）分組長度：64bits基本思想：混亂和擴散15對稱密碼算法的優(yōu)缺點優(yōu)點：效率高，算法簡單，系統(tǒng)開銷小適合加密大量數(shù)據(jù)缺點：密鑰分發(fā)問題需要以安全方式進行密鑰分發(fā)和交換密鑰管理問題密鑰數(shù)目和參與通信的人數(shù)平方成正比16非對稱密碼算法非對稱密碼算法（Asymmetriccipher）加密密鑰和解密密鑰不同，從一個很難推出另一個又叫公鑰密碼算法（Public-keycipher)對外公開的密鑰，稱為公開密鑰，簡稱公鑰必須保密的密鑰，稱為私有密鑰，簡稱私鑰用公鑰加密的信息只能用相應(yīng)的私鑰解密，反之亦然。典型算法RSA、ECC、SM2、ElGamal17非對稱加密（公鑰）算法18RSA算法1977年由RonRivest、AdiShamir和LenAdleman發(fā)明，1978年正式公布算法建立在大整數(shù)因式分解的困難性之上目前應(yīng)用最廣泛的公鑰密碼算法19公鑰密碼體制的優(yōu)缺點優(yōu)點：解決密鑰傳遞的問題大大減少密鑰持有量提供了對稱密碼技術(shù)無法或很難提供的服務(wù)（數(shù)字簽名）缺點：計算復(fù)雜、耗用資源大非對稱會導(dǎo)致得到的密文變長20散列函數(shù)散列函數(shù)哈希函數(shù)/算法、Hash函數(shù)/算法哈希值、散列值、摘要值作用將任意長度的消息映射成一個較短的、定長輸出報文的函數(shù) h=H(M),M是變長的報文,h是定長的散列值2121散列函數(shù)的特點H能夠應(yīng)用到任意長度的數(shù)據(jù)上H能夠生成大小固定的輸出對于任意給定的x，H（x）的計算相對簡單對于給定的散列值h，要發(fā)現(xiàn)滿足H（x）＝h的x在計算上是不可行的

對于給定的消息x，要發(fā)現(xiàn)另一個消息y滿足H（y）＝H（x）在計算上是不可行的常見算法MD5、SHA-1等

22散列函數(shù)完整性應(yīng)用場景舉例MSDN之windows7ultimate下載23數(shù)據(jù)數(shù)據(jù)哈希值散列函數(shù)消息鑒別碼24在網(wǎng)絡(luò)通信中，有一些針對消息內(nèi)容的攻擊方法偽造消息竄改消息內(nèi)容改變消息順序消息重放或者延遲消息認(rèn)證：對收到的消息進行驗證，證明確實是來自聲稱的發(fā)送方，并且沒有被修改過。如果在消息中加入時間及順序信息，則可以完成對時間和順序的認(rèn)證MAC:MessageAuthenticationCode使用一個雙方共享的秘密密鑰生成一個固定大小的小數(shù)據(jù)塊，并加入到消息中，稱MAC，或密碼校驗和(cryptographicchecksum)用戶A和用戶B，共享密鑰K，對于消息M，MAC=CK(M)如果接收方計算的MAC與收到的MAC匹配，則接收者可以確信消息M未被改變接收者可以確信消息來自所聲稱的發(fā)送者如果消息中含有序列號，則可以保證正確的消息順序MAC函數(shù)類似于加密函數(shù)，但不需要可逆性。因此在數(shù)學(xué)上比加密算法被攻擊的弱點要少25MAC的動機為了鑒別而加密整個報文不夠方便對稱加密整個報文是個浪費即使同時為了保密，也有另外的辦法和體制用非對稱加密速度太慢，每秒僅百來筆后來引入了簽名體制鑒別和加密的分離帶來靈活性確實有時只要鑒別而不用(或不能)加密如法律文書、公開信、聲明、公告、公證、鑒定等如軟件鑒別/防病毒、網(wǎng)絡(luò)管理報文等26HMAC把HASH值和一個Key結(jié)合起來不需要可逆目標(biāo)既能使用當(dāng)前的HASH函數(shù)，又可容易升級為新的HASH函數(shù)，并能保持散列函數(shù)的安全性簡單，并易進行密碼學(xué)分析27MAC不能解決的問題發(fā)送者否認(rèn)發(fā)送過消息，聲稱是別人偽造。接收者偽造消息，聲稱其由某發(fā)送者發(fā)送。解決辦法不可否認(rèn)性28數(shù)字簽名傳統(tǒng)簽名的基本特點:能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗證29數(shù)字簽名——抗抵賴性用戶A用戶B數(shù)據(jù)哈希值哈希算法用戶A的私鑰數(shù)據(jù)哈希值用戶A的公鑰哈希算法哈希值如果哈希值匹配，說明該數(shù)據(jù)由該私鑰簽名。30數(shù)字簽名的要求抗偽造不知道簽名者私鑰的前提下，偽造一個數(shù)字簽名在計算上不可行(不可模仿)不可否認(rèn)性簽名者無法否認(rèn)自己的簽名可驗證性數(shù)字簽名必須是在算法上可驗證的可用性數(shù)字簽名的生成和驗證必須相對簡單

312023/2/4數(shù)字簽名應(yīng)用場景舉例小紅傘安裝文件32知識體：密碼及網(wǎng)絡(luò)安全知識域：網(wǎng)絡(luò)安全規(guī)劃及策略了解網(wǎng)絡(luò)安全面臨的威脅及網(wǎng)絡(luò)安全基本目標(biāo)了解常見網(wǎng)絡(luò)結(jié)構(gòu)的安全配置33網(wǎng)絡(luò)面臨的安全威脅物理安全威脅自然災(zāi)害：火災(zāi)、水浸、雷擊、地震、……設(shè)備問題：電力故障、電磁泄漏、……人為破壞：爆炸、盜竊……網(wǎng)絡(luò)攻擊威脅利用缺陷攻擊：協(xié)議設(shè)計缺陷、協(xié)議實現(xiàn)缺陷利用業(yè)務(wù)攻擊：欺騙、拒絕服務(wù)、嗅探等人為錯誤誤操作收買34什么是網(wǎng)絡(luò)安全？網(wǎng)絡(luò)安全是指保護網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不受偶然的或者惡意的原因而遭到破壞、更改或泄露，系統(tǒng)能連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)安全保障合法用戶正常使用網(wǎng)絡(luò)資源保障傳輸信息內(nèi)容合法避免遭受病毒傳播、惡意攻擊、越權(quán)訪問等安全威脅35網(wǎng)絡(luò)安全防護劃分網(wǎng)絡(luò)安全域規(guī)劃網(wǎng)絡(luò)IP地址設(shè)計網(wǎng)絡(luò)安全策略36劃分網(wǎng)絡(luò)安全域安全域由一組具有相同安全保護需求并相互信任的系統(tǒng)組成的邏輯區(qū)域統(tǒng)一安全域相同的邊界保護需求遵循同樣的安全策略劃分安全域把一個大規(guī)模的復(fù)雜系統(tǒng)的安全保護問題，轉(zhuǎn)化為多個更小區(qū)域的安全保護問題邊界防護、訪問控制37安全域劃分示意圖38規(guī)劃網(wǎng)絡(luò)IP地址IP地址規(guī)劃網(wǎng)絡(luò)優(yōu)化運行性能可管理性結(jié)構(gòu)化網(wǎng)絡(luò)分層劃分IP地址分區(qū)域分層次39IP地址分配方式40分配方式說明優(yōu)點缺點靜態(tài)分配地址固定的、靜態(tài)不變的IP地址尋址容易，管理方便數(shù)量要求多，可被假冒動態(tài)分配地址臨時分配IP地址數(shù)量需求小管理不方便網(wǎng)絡(luò)地址轉(zhuǎn)換私有網(wǎng)絡(luò)地址和公共網(wǎng)絡(luò)地址轉(zhuǎn)換使用緩解地址空間不足、對外隱藏內(nèi)網(wǎng)運行效率低、影響需要公網(wǎng)地址的應(yīng)用正常運行設(shè)計網(wǎng)絡(luò)安全策略設(shè)計網(wǎng)絡(luò)安全策略訪問控制流量檢測安全審計遠(yuǎn)程接入網(wǎng)絡(luò)冗余41安全物理環(huán)境設(shè)計機房位置選址地下、一樓、頂樓、其他樓層等基礎(chǔ)支撐設(shè)備電力、防火、防水、防雷擊、防塵、抗干擾等安保門禁、攝像頭、保安員等42一些常見安全策略網(wǎng)絡(luò)訪問策略允許高安全級別的安全域訪問低級別的安全域限制低級別的安全域訪問高安全級別的安全域設(shè)定不同安全域間訪問規(guī)則網(wǎng)絡(luò)安全設(shè)備策略配置先緊后松，不是明確允許的就禁止設(shè)備自身安全設(shè)備日志保護43知識體：密碼及網(wǎng)絡(luò)安全知識域：常見網(wǎng)絡(luò)安全設(shè)備理解網(wǎng)絡(luò)邊界安全產(chǎn)品功能和主要產(chǎn)品，理解防火墻、入侵檢測系統(tǒng)的功能特點理解網(wǎng)絡(luò)連接安全產(chǎn)品功能和主要產(chǎn)品，了解IPSecVPN和SSLVPN特點和區(qū)別了解網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品功能和相關(guān)產(chǎn)品了解安全管理平臺、統(tǒng)一威脅管理以及網(wǎng)絡(luò)安全審計等產(chǎn)品功能44常見網(wǎng)絡(luò)安全設(shè)備常見網(wǎng)絡(luò)安全設(shè)備網(wǎng)絡(luò)邊界安全產(chǎn)品防火墻、入侵檢測系統(tǒng)、安全隔離與信息交換系統(tǒng)網(wǎng)絡(luò)連接安全產(chǎn)品IPSecVPN、SSLVPN網(wǎng)絡(luò)應(yīng)用安全產(chǎn)品Web應(yīng)用防火墻、網(wǎng)頁防篡改系統(tǒng)其他網(wǎng)絡(luò)安全產(chǎn)品安全管理平臺、統(tǒng)一威脅管理系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)45防火墻基本概念什么是防火墻一種協(xié)助確保信息安全的設(shè)備，會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻部署在哪可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不同安全級別網(wǎng)絡(luò)之間兩個需要隔離的區(qū)域之間46為什么需要防火墻控制：在網(wǎng)絡(luò)連接點上建立一個安全控制點，對進出數(shù)據(jù)進行限制隔離：將需要保護的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進行隔離，隱藏信息并進行安全防護記錄：對進出數(shù)據(jù)進行檢查，記錄相關(guān)信息防火墻基本概念47安全網(wǎng)域一防火墻主要功能對出入網(wǎng)絡(luò)的訪問行為進行管理和控制防止IP地址欺騙過濾出入網(wǎng)絡(luò)的數(shù)據(jù)對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計防止內(nèi)部網(wǎng)絡(luò)信息外泄，保護內(nèi)網(wǎng)結(jié)構(gòu)48防火墻基本概念防火墻的分類按防火墻形態(tài)硬件防火墻軟件防火墻按采用技術(shù)包過濾型應(yīng)用代理型混合類型其他分類方法49防火墻的實現(xiàn)技術(shù)-包過濾實現(xiàn)機制：依據(jù)數(shù)據(jù)包的基本標(biāo)記來控制數(shù)據(jù)包網(wǎng)絡(luò)層地址：IP地址（源地址及目的地址）傳輸層地址：端口（源端口及目的端口）協(xié)議：協(xié)議類型50安全網(wǎng)域一防火墻的實現(xiàn)技術(shù)-包過濾優(yōu)點:只對數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進行分析，規(guī)則簡單，處理速度較快易于配置對用戶透明，用戶訪問時不需要提供額外的密碼或使用特殊的命令缺點：檢查和過濾器只在網(wǎng)絡(luò)層，不能識別應(yīng)用層協(xié)議或維持連接狀態(tài)安全性薄弱，不能防止IP欺騙等51防火墻的典型部署區(qū)域劃分：可信網(wǎng)絡(luò)、不可信網(wǎng)絡(luò)、DMZ區(qū)52可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事區(qū)防火墻的策略設(shè)置沒有明確允許的就是禁止先阻止所有數(shù)據(jù)包需要的給予開放沒有明確禁止的就是允許對明確禁止的設(shè)置策略53防火墻的策略設(shè)置可信網(wǎng)絡(luò)可向DMZ區(qū)和不可信網(wǎng)絡(luò)發(fā)起連接請求54可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的策略設(shè)置DMZ區(qū)可接受可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)的連接請求DMZ區(qū)不可向可信網(wǎng)絡(luò)發(fā)起連接請求DMZ區(qū)與不可信網(wǎng)絡(luò)的連接請求根據(jù)業(yè)務(wù)需要確定55可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻路由器InternetIntranetDMZ非軍事化區(qū)防火墻的不足和局限性難于管理和配置，易造成安全漏洞防外不防內(nèi)，不能防范惡意的內(nèi)部攻擊者無法發(fā)現(xiàn)和阻止應(yīng)用層的攻擊無法發(fā)現(xiàn)和阻止源自其它入口的攻擊防火墻本身也會出現(xiàn)問題和受到攻擊56入侵檢測系統(tǒng)入侵檢測系統(tǒng)的功能和作用入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)的局限性57什么是入侵檢測系統(tǒng)？58什么是入侵檢測系統(tǒng)一種通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的設(shè)備入侵檢測系統(tǒng)部署在哪數(shù)據(jù)流入流出點關(guān)鍵位置入侵檢測系統(tǒng)的價值及作用為什么需要入侵檢測系統(tǒng)防火墻的重要補充構(gòu)建網(wǎng)絡(luò)安全防御體系的重要環(huán)節(jié)克服傳統(tǒng)防御機制的限制入侵檢測系統(tǒng)能做什么檢測對網(wǎng)絡(luò)和系統(tǒng)的攻擊行為對攻擊行為作出響應(yīng)59入侵檢測系統(tǒng)的分類（一）按系統(tǒng)形態(tài)硬件形態(tài)軟件形態(tài)按檢測原理異常檢測誤用檢測（特征檢測）混合檢測60入侵檢測系統(tǒng)的分類（二）按數(shù)據(jù)來源基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)61主機入侵檢測系統(tǒng)什么是主機入侵檢測運行在被檢測主機上，通過對主機數(shù)據(jù)包和主機上的系統(tǒng)調(diào)用、資源使用狀態(tài)進行分析，發(fā)現(xiàn)可能的入侵通常是軟件形式62主機入侵檢測系統(tǒng)優(yōu)點和不足優(yōu)點運行在被檢測的主機上，能檢測主機系統(tǒng)運行情況能精確地判斷攻擊行為是否成功能監(jiān)控主機上特定用戶活動情況適用加密環(huán)境不足與主機平臺有關(guān)，可移植性差影響目標(biāo)主機的性能無法檢測基于網(wǎng)絡(luò)的入侵行為63網(wǎng)絡(luò)入侵檢測系統(tǒng)什么是網(wǎng)絡(luò)入侵檢測采集網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)視并分析這些數(shù)據(jù)，識別攻擊事件部署在核心網(wǎng)絡(luò)或重要網(wǎng)絡(luò)位置通常是硬件形式64網(wǎng)絡(luò)入侵檢測系統(tǒng)優(yōu)點和不足優(yōu)點具有平臺無關(guān)性不影響主機的性能能夠在較大的網(wǎng)絡(luò)范圍內(nèi)進行安全檢測可檢測基于協(xié)議的攻擊行為不足無法應(yīng)對加密數(shù)據(jù)流量不能檢測主機內(nèi)部發(fā)生的入侵行為不適合高速交換環(huán)境，處理負(fù)荷較重65入侵檢測系統(tǒng)的典型部署66可信網(wǎng)絡(luò)不可信的網(wǎng)絡(luò)防火墻InternetIntranet旁路的方式接入部署位置防火墻外核心交換機關(guān)鍵位置HIDSNIDSNIDSNIDS入侵檢測系統(tǒng)的局限性使用復(fù)雜配置、操作和管理使用較為復(fù)雜檢測速度慢相比網(wǎng)絡(luò)傳輸速率，入侵檢測系統(tǒng)的檢測速度低誤警率高會產(chǎn)生大量無用的誤警信息和“入侵”行為記錄分析算法需要完善缺乏有限關(guān)聯(lián)分析算法自身安全防護難性能有限，難以設(shè)置強大的自身防護能力67安全隔離與信息交換系統(tǒng)安全隔離與信息交換系統(tǒng)一種帶有多種控制功能的專用硬件設(shè)備放置在兩個安全級別不一樣的網(wǎng)絡(luò)之間，在電路上切斷兩個網(wǎng)絡(luò)之間的鏈路層連接，通過協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式在兩個網(wǎng)絡(luò)之間進行可控的應(yīng)用數(shù)據(jù)交換，只有被系統(tǒng)明確要求傳輸?shù)男畔⒉趴梢酝ㄟ^名稱安全隔離網(wǎng)閘隔離網(wǎng)閘網(wǎng)閘68網(wǎng)絡(luò)區(qū)域間數(shù)據(jù)交換傳統(tǒng)解決辦法人工擺渡數(shù)據(jù)移動硬盤、U盤、光盤網(wǎng)閘解決方案69網(wǎng)閘和防火墻區(qū)別70安全隔離與信息交換系統(tǒng)防火墻系統(tǒng)結(jié)構(gòu)采用雙主機系統(tǒng)或三機系統(tǒng)，內(nèi)端機與需要保護的內(nèi)部網(wǎng)絡(luò)連接，外端機與外網(wǎng)連接一般是單主機系統(tǒng)，同時與內(nèi)網(wǎng)、外網(wǎng)連接內(nèi)部通訊協(xié)議采用自身定義的私有通訊協(xié)議采用通用通訊協(xié)議，即TCP/IP協(xié)議內(nèi)外網(wǎng)實時連接采用專用硬件控制，內(nèi)外網(wǎng)之間沒有實時連接采用實時連接應(yīng)用協(xié)議解析需要對應(yīng)用層的協(xié)議進行解析，支持定制解析一般不解析應(yīng)用層協(xié)議虛擬專用網(wǎng)產(chǎn)品VPN的作用和功能VPN的分類IPSecVPN和SSLVPN介紹71VPN的基本概念什么是VPN虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。為什么需要VPN專用網(wǎng)絡(luò)：安全性好、價格昂貴、難擴展、不靈活分組交換：安全性差、價格便宜、擴展性好將專用網(wǎng)的安全特性和分組交換網(wǎng)的廉價和易于擴展的特性結(jié)合在一起，這就是VPN的動機利用共享的互聯(lián)網(wǎng)設(shè)施，模擬“專用”廣域網(wǎng)，最終以極低的費用為遠(yuǎn)程用戶提供能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)72VPN的特點成本低利用已有公網(wǎng)，無需建設(shè)專用線路安全保障通過身份認(rèn)證、傳輸加密技術(shù)保證會話和數(shù)據(jù)傳輸安全服務(wù)質(zhì)量保證可以為用戶提供不同等級的服務(wù)質(zhì)量保證可管理性強使用簡單、靈活，管理和設(shè)置方便可擴展性高易于增加新的網(wǎng)絡(luò)節(jié)點，并支持各種協(xié)議73加密數(shù)據(jù)，保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露信息認(rèn)證和身份認(rèn)證，確保用戶的合法性信息的完整性、合法性，確保信息不會被篡改提供訪問控制，不同的用戶有不同的訪問權(quán)限VNP基本功能74VPN的類型按協(xié)議層次可以分為二層VPN、三層VPN和應(yīng)用層VPN按應(yīng)用范圍遠(yuǎn)程訪問VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN按體系結(jié)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)VPN、主機到網(wǎng)關(guān)VPN和主機到主機VPN75按應(yīng)用劃分的VPN遠(yuǎn)程訪問VPN用于實現(xiàn)移動用戶或遠(yuǎn)程辦公安全訪問企業(yè)網(wǎng)絡(luò)內(nèi)聯(lián)網(wǎng)VPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)外聯(lián)網(wǎng)VPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)76內(nèi)聯(lián)網(wǎng)VPNRouterInternetPOPor遠(yuǎn)程訪問VPN外聯(lián)網(wǎng)VPN按體系結(jié)構(gòu)分類的VPN網(wǎng)關(guān)到網(wǎng)關(guān)體系結(jié)構(gòu)示例主機到主機體系結(jié)構(gòu)示例主機到網(wǎng)關(guān)體系結(jié)構(gòu)示例77IPSec

VPN產(chǎn)品SSL

VPN產(chǎn)品VPN有關(guān)產(chǎn)品78IPSec是IPSecurity的縮寫，是目前遠(yuǎn)程訪問VPN網(wǎng)絡(luò)的基礎(chǔ)IPSec的加密功能可以在互聯(lián)網(wǎng)上創(chuàng)建出安全的信道來。IPSec協(xié)議79IPSECVPN功能數(shù)據(jù)保密性保護數(shù)據(jù)完整性保護數(shù)據(jù)源身份認(rèn)證80什么是SSLVPN安全套接字層（SecureSocketLayer，SSL）屬于高層安全機制，廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序一般來說，客戶方對服務(wù)器方進行認(rèn)證是必須的SSLVPN技術(shù)能夠讓用戶通過標(biāo)準(zhǔn)的Web瀏覽器就可以訪問重要的企業(yè)應(yīng)用。SSLVPN網(wǎng)關(guān)位于企業(yè)網(wǎng)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶之間，控制二者的通信SSLVPN產(chǎn)品81SSL(SecuresocketLayer)安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式功能：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性SSL通過在瀏覽器軟件和web服務(wù)器之間建立一條安全通道，實現(xiàn)信息在Internet中傳送的保密性SSL協(xié)議82項目IPSecVPNSSLVPN身份驗證雙向/支持?jǐn)?shù)字證書單/雙向/支持?jǐn)?shù)字證書加密支持多種加密算法支持多種加密算法安裝部署需在每個客戶端安裝，部署成本高無需安裝客戶端，部署成本低易用性較復(fù)雜，需要培訓(xùn)簡單友好應(yīng)用支持所有基于IP協(xié)議的服務(wù)適用各種應(yīng)用HTTP/TELNET/FTP，適用B/S程序用戶適合于企業(yè)內(nèi)部使用